本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Control Tower 和 VPCs概觀
<a name="vpc-concepts"></a>

以下是有關 AWS Control Tower VPCs的一些基本事實：
+ 當您在帳戶工廠中佈建帳戶時，AWS Control Tower 建立的 VPC 與 AWS 預設 VPC 不同。
+ 當 AWS Control Tower 在支援 AWS 的區域設定新帳戶時，AWS Control Tower 會自動刪除預設 AWS VPC，並設定 AWS Control Tower 設定的新 VPC。
+ 每個 AWS Control Tower 帳戶都可以有一個由 AWS Control Tower 建立的 VPC。帳戶可以在帳戶限制內擁有額外的 AWS VPCs。
+ 每個 AWS Control Tower VPC 在所有區域中都有三個可用區域，美國西部 （加利佛尼亞北部） 區域除外`us-west-1`，以及 中的兩個可用區域`us-west-1`。根據預設，各可用區域會指派一個公有子網路和兩個私有子網路。因此，在美國西部 （加利佛尼亞北部） 以外的區域中，每個 AWS Control Tower VPC 預設包含九個子網路，分為三個可用區域。在美國西部 （加利佛尼亞北部），六個子網路分為兩個可用區域。
+ AWS Control Tower VPC 中的每個子網路都會指派一個大小相等的唯一範圍。
+ VPC 中的子網路數量可以設定。如需如何變更 VPC 子網路組態的詳細資訊，請參閱 [Account Factory 主題](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html)。
+ 由於 IP 地址不重疊，因此 AWS Control Tower VPC 內的六個或九個子網路可以不受限制的方式互相通訊。

使用 VPCs 時，AWS Control Tower 在區域層級沒有區別。每個子網路都是從您指定的確切 CIDR 範圍配置。VPC 子網路可以存在於任何區域。

**備註**

**管理 VPC 成本**  
如果您設定帳戶工廠 VPC 組態，以便在佈建新帳戶時啟用公有子網路，帳戶工廠會將 VPC 設定為建立 NAT 閘道。Amazon VPC 將向您收取您的使用費用。

**VPC 和控制設定**  
如果您在啟用 VPC 網際網路存取設定的情況下佈建 Account Factory 帳戶，該 Account Factory 設定會覆寫控制項 [不允許客戶管理之 Amazon VPC 執行個體的網際網路存取](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html#disallow-vpc-internet-access)。若要避免啟用新佈建帳戶的網際網路存取，您必須在 Account Factory 中變更 設定。如需詳細資訊，請參閱[逐步解說：不使用 VPC 設定 AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html)。

# VPC 和 AWS Control Tower 的 CIDR 和對等互連
<a name="vpc-ct-cidr"></a>

本節主要供網路管理員使用。您公司的網路管理員通常是為您的 AWS Control Tower 組織選取整體 CIDR 範圍的人員。網路管理員之後會因特定目的，從該範圍內配置子網路。

當您為 VPC 選擇 CIDR 範圍時，AWS Control Tower 會根據 RFC 1918 規格驗證 IP 地址範圍。Account Factory 允許 CIDR 區塊高達 ，範圍`/16`為：
+ `10.0.0.0/8`
+ `172.16.0.0/12`
+ `192.168.0.0/16`
+ `100.64.0.0/10` （只有當您的網際網路供應商允許使用此範圍時）

`/16` 分隔符號允許多達 65,536 個不同的 IP 位址。

您可以從下列範圍指派任何有效的 IP 位址：
+ `10.0.x.x to 10.255.x.x`
+ `172.16.x.x – 172.31.x.x`
+ `192.168.0.0 – 192.168.255.255` （沒有超出 `192.168` 範圍的 IP）

如果您指定的範圍超出這些範圍，AWS Control Tower 會提供錯誤訊息。

預設 CIDR 範圍為 `172.31.0.0/16`。

當 AWS Control Tower 使用您選取的 CIDR 範圍建立 VPC 時，它會針對您在組織單位 (OU) 內建立的每個帳戶，將*相同的 CIDR 範圍指派給每個 VPC*。由於 IP 地址的預設重疊，此實作最初不允許在 OU 中的任何 AWS Control Tower VPCs 之間對等互連。

**子網路**

在每個 VPC 中，AWS Control Tower 會將您指定的 CIDR 範圍平均分成九個子網路 （美國西部 （加利佛尼亞北部） 除外，其中六個子網路）。VPC 內沒有任何子網路重疊。因此，它們都可以在 VPC 中互相通訊。

總而言之，根據預設，VPC 內的子網路通訊不受限制。必要時，控制 VPC 子網路之間通訊的最佳實務，就是使用定義允許之流量的規則設定存取控制清單。使用安全群組來控制特定執行個體之間的流量。如需在 AWS Control Tower 中設定安全群組和防火牆的詳細資訊，請參閱[逐步解說：使用 AWS Firewall Manager 在 AWS Control Tower 中設定安全群組](https://docs.aws.amazon.com//controltower/latest/userguide/firewall-setup-walkthrough.html)。

**對等互連**

AWS Control Tower 不會限制多個 VPC-to-VPC VPCs對等互連。不過，根據預設，所有 AWS Control Tower VPCs都有相同的預設 CIDR 範圍。若要支援對等互連，您可以在 Account Factory 的設定中修改 CIDR 範圍，讓 IP 地址不會重疊。

如果您在 Account Factory 的設定中變更 CIDR 範圍，則後續由 AWS Control Tower 建立的所有新帳戶 （使用 Account Factory) 都會指派新的 CIDR 範圍。舊帳戶不會更新。例如，您可以建立一個帳戶， 然後變更 CIDR 範圍並建立新的帳戶 , 並互連配置給這兩個帳戶的 VPC。由於其 IP 地址範圍並不相同，因此可以互連。